Impact de l'RBAC des données sur les fonctionnalités Google SecOps
Le contrôle des accès basé sur les rôles (RBAC) est un modèle de sécurité qui limite l'accès des utilisateurs aux données en fonction de leurs rôles individuels au sein d'une organisation. Une fois le RBAC des données configuré dans un environnement, les données filtrées commencent à s'afficher dans les fonctionnalités Google Security Operations. Le RBAC des données contrôle l'accès des utilisateurs en fonction des portées qui leur sont attribuées et garantit qu'ils ne peuvent accéder qu'aux informations autorisées. Cette page présente l'impact du RBAC des données sur chaque fonctionnalité Google SecOps.
Pour comprendre le fonctionnement du RBAC des données, consultez la page Présentation du RBAC des données.
Recherche
Les données affichées dans les résultats de recherche dépendent de l'accès de l'utilisateur aux données. champs d'application. Les utilisateurs ne peuvent voir que les résultats des données correspondant aux portées qui leur sont attribuées. Si plusieurs champs d'application sont attribués aux utilisateurs, la recherche est exécutée sur les données combinées de tous les champs d'application autorisés. Les données appartenant à des portées auxquelles l'utilisateur n'a pas accès n'apparaissent pas dans les résultats de recherche.
Règles
Les règles sont des mécanismes de détection qui analysent les données ingérées et aident à identifier les menaces de sécurité potentielles. Vous pouvez afficher et gérer les règles liées à auquel vous avez accès.
Une règle peut être globale (accessible par tous les utilisateurs) ou liée à un seul champ d'application. La règle s'applique aux données qui correspondent à la définition du champ d'application. Les données en dehors du champ d'application ne sont pas prises en compte.
La génération d'alertes est également limitée aux événements qui correspondent au champ d'application de la règle. Les règles qui ne sont associées à aucun champ d'application s'exécutent dans le champ d'application global et s'appliquent à toutes les données. Lorsque le contrôle des données RBAC est activé sur une instance, toutes les règles existantes sont automatiquement en règles de champ d'application global.
Le champ d'application associé à une règle détermine la manière dont les utilisateurs mondiaux et limités peut interagir avec elle. Les autorisations d'accès sont récapitulées dans le tableau suivant :
| Action | Utilisateur dans le monde | Utilisateur concerné |
|---|---|---|
| Peut afficher les règles de portée | Oui | Oui (uniquement si le champ d'application de la règle se situe dans les champs d'application attribués à l'utilisateur)
Par exemple, un utilisateur disposant des portées A et B peut voir une règle avec la portée A, mais pas une règle avec la portée C. |
| Peut afficher les règles globales | Oui | Non |
| Peut créer et mettre à jour des règles de champ d'application | Oui | Oui (uniquement si le champ d'application de la règle se situe dans les champs d'application attribués à l'utilisateur)
Par exemple, un utilisateur disposant des champs d'application A et B peut créer une règle avec le champ d'application A, mais pas une règle avec le champ d'application C. |
| Peut créer et mettre à jour des règles globales | Oui | Non |
Détections
Les détections sont des alertes qui signalent des menaces de sécurité potentielles. Les détections sont déclenchées par des règles personnalisées, créées par votre équipe de sécurité Environnement Google SecOps.
Des détections sont générées lorsque les données de sécurité entrantes correspondent aux critères définis dans une règle. Les utilisateurs peuvent uniquement voir qui proviennent de règles associées aux champs d'application qui leur sont attribués. Pour Par exemple, un analyste de sécurité dont le champ d'application est des données financières ne voit que les détections générées par les règles attribuées au champ d'application des données financières, et ne voit pas des détections de toute autre règle.
Les actions qu'un utilisateur peut effectuer sur une détection (par exemple, marquer une détection comme résolu) sont également limitées à la portée de la détection.
Détections sélectionnées
Les détections sont déclenchées par des règles personnalisées créées par votre équipe de sécurité, tandis que les détections sélectionnées sont déclenchées par des règles fournies par l'équipe Google Cloud Threat Intelligence (GCTI). Dans le cadre des détections sélectionnées, GCTI fournit et gère un ensemble de règles YARA-L pour vous aider à identifier les menaces de sécurité courantes dans votre environnement Google SecOps. Pour en savoir plus, consultez Utiliser des détections sélectionnées pour identifier les menaces.
Les détections sélectionnées ne sont pas compatibles avec le RBAC des données. Seuls les utilisateurs disposant d'une portée globale peuvent accéder aux détections sélectionnées.
Listes de référence
Les listes de référence sont des collections de valeurs utilisées pour faire correspondre et filtrer les données dans les règles de recherche et de détection UDM. L'attribution de champs d'application de référence restreint son accès à des utilisateurs et telles que les règles et la recherche UDM. Une liste de référence à laquelle aucun champ d'application n'est attribué est appelée liste sans champ d'application.
Autorisations d'accès attribuées aux utilisateurs des listes de référence
Les champs d'application associés à une liste de référence déterminent la manière dont les utilisateurs au niveau global et limité peuvent interagir avec elle. Les autorisations d'accès sont résumées dans le tableau suivant :
| Action | Utilisateur dans le monde | Utilisateur avec portée |
|---|---|---|
| Peut créer une liste avec portée | Oui | Oui (avec les habilitations qui correspondent aux habilitations attribuées ou un sous-ensemble de ces habilitations)
Par exemple, un utilisateur avec les portées A et B peut créer une liste de référence avec la portée A ou avec les portées A et B, mais pas avec les portées A, B et C. |
| Peut créer une liste sans champ d'application | Oui | Non |
| Possibilité de mettre à jour la liste de portée | Oui | Oui (avec des champs d'application correspondant à ceux qui leur sont attribués ou qui en sont un sous-ensemble)
Par exemple, un utilisateur disposant des champs d'application A et B peut modifier une liste de référence associée aux champs d'application A ou A et B, mais pas à une liste de référence associée aux champs d'application A, B et C. |
| Possibilité de modifier la liste sans portée | Oui | Non |
| Peut modifier la liste avec portée pour qu'elle n'en ait plus | Oui | Non |
| Peut afficher et utiliser la liste délimitée | Oui | Oui (s'il existe au moins un champ d'application correspondant entre l'utilisateur et la liste de référence)
Par exemple, un utilisateur disposant des champs d'application A et B peut utiliser une liste de référence avec les champs d'application A et B, mais pas une liste de référence avec les champs d'application C et D. |
| Peut afficher et utiliser la liste sans champ d'application | Oui | Oui |
| Peut exécuter des recherches UDM et des requêtes de tableau de bord avec des listes de référence sans champ d'application | Oui | Oui |
| Peut exécuter des requêtes de recherche et de tableau de bord UDM avec des listes de référence ciblées | Oui | Oui (s'il existe au moins un champ d'application correspondant entre l'utilisateur et la liste de référence)
Par exemple, un utilisateur disposant du champ d'application A peut exécuter des requêtes de recherche UDM avec des listes de référence avec les champs d'application A, B et C, mais pas avec des listes de référence avec les champs d'application B et C. |
Autorisations d'accès pour les règles des listes de référence
Une règle délimitée peut utiliser une liste de référence s'il existe au moins un champ d'application correspondant entre la règle et la liste de référence. Par exemple, une règle ayant le champ d'application A peut utilisez une liste de référence avec les champs d'application A, B et C, mais pas une liste de référence avec les champs d'application B et C.
Une règle de portée globale peut utiliser n'importe quelle liste de référence.
Flux et transferts
Le RBAC des données n'a pas d'incidence directe sur l'exécution du flux et du forwarder. Toutefois, pendant la configuration, les utilisateurs peuvent attribuer les étiquettes par défaut (type de journal, ou étiquettes d'ingestion) aux données entrantes. Le contrôle des données RBAC est ensuite appliqué aux caractéristiques utilisant ces données étiquetées.
Tableaux de bord Looker
Les tableaux de bord Looker ne sont pas compatibles avec le contrôle d'accès basé sur les rôles pour les données. Accès à Looker est contrôlé par la fonctionnalité RBAC.
Correspondances entre les renseignements sur les menaces appliqués (ATI) et les indicateurs de compromission
Les données IOC et ATI sont des éléments d'information qui suggèrent une menace de sécurité potentielle dans votre environnement.
Les détections sélectionnées par l'équipe ATI sont déclenchées par des règles fournies par l'équipe ATI (Advanced Threat Intelligence). Ces règles utilisent l'intelligence sur les menaces Mandiant pour identifier de manière proactive les menaces à priorité élevée. Pour en savoir plus, consultez la présentation de Threat Intelligence appliqué.
Le contrôle des données RBAC ne limite pas l'accès aux correspondances IOC et aux données ATI, mais les correspondances sont filtrés selon les niveaux d'accès attribués à l'utilisateur. Les utilisateurs ne voient que les correspondances pour les IOC et les données ATI associées aux éléments qui relèvent de leur champ d'application.
Analyse du comportement des utilisateurs et des entités (UEBA)
La catégorie "Analyse des risques pour l'UEBA" propose des ensembles de règles prédéfinis pour détecter les menaces de sécurité potentielles. Ces ensembles de règles utilisent le machine learning déclencher la détection en analysant des modèles de comportement des utilisateurs et des entités. Pour en savoir plus, consultez la section Présentation de la catégorie "Analyse des risques" pour l'UEBA.
L'UEBA n'est pas compatible avec le RBAC des données. Seuls les utilisateurs disposant d'une portée globale peuvent accéder aux analyses de risque pour la catégorie UEBA.
Détails des entités dans Google SecOps
Les champs suivants, qui décrivent un élément ou un utilisateur, apparaissent sur plusieurs pages dans Google SecOps, comme le panneau Contexte de l'entité dans la recherche UDM. Avec le contrôle des accès basé sur les données (RBAC), les champs ne sont disponibles que pour les utilisateurs ayant champ d'application global.
- Première occurrence
- Dernière activité
- Prévalence
Les utilisateurs disposant d'un champ d'application peuvent afficher les données de la première et de la dernière fois que les utilisateurs et les composants ont été vus si ces données sont calculées à partir des données du champ d'application attribué à l'utilisateur.
Étape suivante
Configurer le contrôle des accès basé sur les données pour les utilisateurs